Metody ověřování a zprostředkovatelé identit pro zákazníky

  • Článek

Microsoft Entra Externí ID nabízí několik možností pro ověřování uživatelů vašich aplikací. Zákazníkům můžete umožnit, aby si v adresáři zákazníků vytvořili účet pomocí e-mailu a hesla nebo jednorázového hesla. Můžete také povolit přihlášení pomocí účtu sociální sítě.

Přihlášení k e-mailu a heslu

Registrace e-mailu je ve výchozím nastavení povolená v nastavení zprostředkovatele identity místního účtu. S možností e-mailu se zákazníci můžou zaregistrovat a přihlásit pomocí své e-mailové adresy a hesla.

  • Registrace: Zákazníkům se zobrazí výzva k zadání e-mailové adresy, která se ověřuje při registraci pomocí jednorázového hesla. Zákazník pak na registrační stránce zadá jakékoli další požadované informace, například zobrazované jméno, jméno a příjmení. Pak vyberou Pokračovat a vytvoří účet.

  • Přihlášení: Po registraci zákazníka a vytvoření účtu se může přihlásit zadáním své e-mailové adresy a hesla.

  • Resetování hesla: Pokud povolíte přihlášení k e-mailu a heslu, zobrazí se na stránce s heslem odkaz pro resetování hesla. Pokud zákazník zapomene heslo, po výběru tohoto odkazu se na jeho e-mailovou adresu odešle jednorázový přístupový kód. Po ověření může zákazník zvolit nové heslo.

    Snímky obrazovky e-mailu s přihlašovacími obrazovkami hesla

Když vytvoříte tok registrace a přihlášení uživatele, výchozí možností je e-mail s heslem.

E-mail s jednorázovým přihlašováním pomocí hesla

E-mail s jednorázovým heslem je možnost v nastavení zprostředkovatele identity místního účtu. Díky této možnosti se zákazník přihlásí pomocí dočasného hesla místo uloženého hesla při každém přihlášení.

  • Registrace: Zákazníci se můžou zaregistrovat pomocí své e-mailové adresy a požádat o dočasný kód, který se odešle na svoji e-mailovou adresu. Zadáním tohoto kódu pak může pokračovat v přihlášení.

  • Přihlášení: Jakmile se zákazník zaregistruje a vytvoří účet, pokaždé, když podepíše svoji e-mailovou adresu a obdrží dočasné heslo.

    Snímky obrazovky e-mailu s jednorázovým přihlašováním

Poznámka:

Pokud chcete povolit vícefaktorové ověřování (MFA), nastavte metodu ověřování místního účtu na e-mail s heslem. Pokud nastavíte možnost místního účtu na E-mail s jednorázovým heslem, zákazníci, kteří tuto metodu používají, se nebudou moct přihlásit, protože jednorázové heslo je už jejich metoda prvního přihlášení a nedá se použít jako druhý faktor. V současné době nejsou pro scénáře zákazníků k dispozici jiné metody ověřování.

Když vytvoříte tok registrace a přihlášení uživatele, jednorázový přístupový kód e-mailu je jednou z možností místního účtu.

Zprostředkovatelé sociálních identit: Facebook a Google

Pokud chcete zajistit optimální možnosti přihlašování, federujte je s zprostředkovateli sociálních identit, kdykoli je to možné, abyste svým zákazníkům umožnili bezproblémovou registraci a přihlašování. V externím tenantovi můžete zákazníkovi povolit registraci a přihlášení pomocí vlastního účtu Facebook nebo Google. Když se zákazník zaregistruje k vaší aplikaci pomocí svého účtu na sociální síti, zprostředkovatel sociální identity vytvoří, udržuje a spravuje informace o identitě při poskytování ověřovacích služeb aplikacím.

Když povolíte zprostředkovatele sociálních identit, zákazníci si můžou vybrat z možností zprostředkovatelů sociálních identit, které jste zpřístupnili na registrační stránce. Pokud chcete nastavit zprostředkovatele sociálních identit ve vašem externím tenantovi, vytvoříte aplikaci u zprostředkovatele identity a nakonfigurujete přihlašovací údaje. Získáte ID klienta nebo aplikace a tajný klíč klienta nebo aplikace, který pak můžete přidat do externího tenanta.

Přihlášení Google

Nastavením federace s Googlem můžete zákazníkům umožnit přihlášení k aplikacím pomocí vlastních účtů Gmail. Po přidání Google jako jedné z možností přihlášení aplikace se uživatelé na přihlašovací stránce můžou přihlásit k Microsoft Entra Externí ID pomocí účtu Google.

Následující snímky obrazovky ukazují přihlášení pomocí prostředí Google. Na přihlašovací stránce uživatelé vyberou Přihlášení pomocí Googlu. V tomto okamžiku se uživatel přesměruje na zprostředkovatele identity Google a dokončí přihlášení.

Snímky obrazovky s přihlašovacími obrazovkami Google

Zjistěte, jak přidat Google jako zprostředkovatele identity.

Přihlášení k Facebooku

Nastavením federace s Facebookem můžete pozvaným uživatelům povolit přihlášení k aplikacím pomocí vlastních facebookových účtů. Po přidání Facebooku jako jedné z možností přihlášení aplikace se uživatelé na přihlašovací stránce můžou přihlásit k Microsoft Entra Externí ID pomocí facebookového účtu.

Následující snímky obrazovky ukazují přihlášení pomocí facebookového prostředí. Na přihlašovací stránce uživatelé vyberou Přihlášení pomocí Facebooku. Pak se uživatel přesměruje na zprostředkovatele identity Facebooku, aby se přihlášení dokončilo.

Snímky obrazovky s přihlášením k Facebooku

Zjistěte, jak přidat Facebook jako zprostředkovatele identity.

Aktualizace metod přihlašování

Kdykoli můžete aktualizovat možnosti přihlášení, které jste vybrali pro aplikaci. Můžete například přidat zprostředkovatele sociálních identit nebo změnit metodu přihlášení k místnímu účtu.

Mějte na paměti, že když změníte metody přihlašování, má tato změna vliv jenom na nové uživatele. Stávající uživatelé se budou dál přihlašovat pomocí původní metody. Předpokládejme například, že začnete s metodou přihlášení k e-mailu a heslem a pak změníte e-mail s jednorázovým heslem. Noví uživatelé se budou přihlašovat pomocí jednorázového hesla, ale všichni uživatelé, kteří se už zaregistrovali pomocí e-mailu a hesla, budou dál vyzváni k zadání e-mailu a hesla.

Rozhraní Microsoft Graph API

Pro správu zprostředkovatelů identity a metod ověřování v Microsoft Entra Externí ID se podporují následující operace rozhraní Microsoft Graph API:

Další kroky

Informace o přidání zprostředkovatelů identity pro přihlášení k aplikacím najdete v následujících článcích: